8
SSL-Zertifikat in QNAP
Guten Abend in die Runde,
Folgende Problemstellung: Ich betreibe ein QNAP-NAS welches ich (und auch Bekannte) gerne von außerhalb benutzen möchten unter qnap.example.de.
Hierzu habe ich dann in meiner Domain (beim Webhoster) die Subdomain qnap.example.de angelegt und diese per CNAME-Eintrag auf mein DynDNS weitergeleitet. Dazu dann noch in der Sophos UTM eine entsprechende NAT-Regel angelegt. Soweit so gut, es funktioniert auch ohne Probleme. Ich komme nun einfach per qnap.example.de auf die Weboberfläche meiner QNAP *juhu*
Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?
Vielen Dank schon mal für eure Lösungsansätze
Folgende Problemstellung: Ich betreibe ein QNAP-NAS welches ich (und auch Bekannte) gerne von außerhalb benutzen möchten unter qnap.example.de.
Hierzu habe ich dann in meiner Domain (beim Webhoster) die Subdomain qnap.example.de angelegt und diese per CNAME-Eintrag auf mein DynDNS weitergeleitet. Dazu dann noch in der Sophos UTM eine entsprechende NAT-Regel angelegt. Soweit so gut, es funktioniert auch ohne Probleme. Ich komme nun einfach per qnap.example.de auf die Weboberfläche meiner QNAP *juhu*
Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?
Vielen Dank schon mal für eure Lösungsansätze
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 636119
Url: https://administrator.de/contentid/636119
Printed on: April 26, 2024 at 20:04 o'clock
8 Comments
Latest comment
Hierzu habe ich dann in meiner Domain (beim Webhoster) die Subdomain qnap.example.de angelegt und diese per CNAME-Eintrag auf mein DynDNS weitergeleitet. Dazu dann noch in der Sophos UTM eine entsprechende NAT-Regel angelegt. Soweit so gut, es funktioniert auch ohne Probleme. Ich komme nun einfach per qnap.example.de auf die Weboberfläche meiner QNAP *juhu*
Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?
Vielen Dank schon mal für eure Lösungsansätze
Nun habe ich mir für meine QNAP bei LetsEncrypt ein SSL-Zertifikat besorgt welches auch in der QNAP hinterlegt ist. Wieso werden die Verbindungen dennoch als nicht sicher gekennzeichnet? Wo ist mein Denkfehler?
Vielen Dank schon mal für eure Lösungsansätze
Da du eine Sophos im Einsatz hast, wäre es gut zu wissen, ob du die WAF aktiv hast... wenn ja, musst das Zertifikat auch dort hinterlegt sein
Davon mal abgesehen gilt ein Zertifikat „normal“ nur für eine „Domain“. Ein Wildcard auch für alle Subdomains.
Beispiel:
Zertifikat
Qnap.meinedomain.de
oder
*.meinedomain.de
Geht:
meinqnap.meinedomain.de
Geht nicht:
Meinqnap.dyndns.de
Zertifikat und CNAME verträgt sich nicht richtig in Verbindung mit „einfachen“ dyndns
Für solche Fälle haben richtige Hoster bzw. richtige DomainAnbieter einen eigene dyndns Service, welcher die eigene subdomain als dyndns anbietet.
Zb.:
meindyndns.meinedomain.de (um beim Beispiel von oben zu bleiben).
——
Nichtsdestotrotz würde ich kein QNAP blank ins Internet stellen. Auch nicht über SSL. Die hatten mir schon zuviele Sicherheitslücken
Vielen Dank für die schnelle Antwort.
So wie ich das lese, kriege ich das dann wohl schwer in Übereinstimmung. Mir kommen da gleich zwei spontane Fragen auf:
1. Lieber das DynDNS des Hosters verwenden, falls dieser das anbietet? (müsste mich hier nochmal schlau machen) das DynDNS wird aber auch aktuell für eine LAN-LAN-Kopplung genutzt und somit müsste auch diese komplett neu konfiguriert werden.
2. Lieber alles über VPN realisieren? Ich denke hier an die Einfachheit für meine Bekannten und Freunde welche mit qnap.example.de und Benutzer und Passwort besser zurecht kommen als mit Installation eines VPN-Clients. Wirklich vertrauliche Dateien sollen darüber eh nicht ausgetauscht werden, aber der Sicherheitsaspekt spielt natürlich trotzdem eine Rolle.
So wie ich das lese, kriege ich das dann wohl schwer in Übereinstimmung. Mir kommen da gleich zwei spontane Fragen auf:
1. Lieber das DynDNS des Hosters verwenden, falls dieser das anbietet? (müsste mich hier nochmal schlau machen) das DynDNS wird aber auch aktuell für eine LAN-LAN-Kopplung genutzt und somit müsste auch diese komplett neu konfiguriert werden.
2. Lieber alles über VPN realisieren? Ich denke hier an die Einfachheit für meine Bekannten und Freunde welche mit qnap.example.de und Benutzer und Passwort besser zurecht kommen als mit Installation eines VPN-Clients. Wirklich vertrauliche Dateien sollen darüber eh nicht ausgetauscht werden, aber der Sicherheitsaspekt spielt natürlich trotzdem eine Rolle.
Zitat von @Welly92:
Vielen Dank für die schnelle Antwort.
So wie ich das lese, kriege ich das dann wohl schwer in Übereinstimmung. Mir kommen da gleich zwei spontane Fragen auf:
1. Lieber das DynDNS des Hosters verwenden, falls dieser das anbietet?
ja...definitiv.Vielen Dank für die schnelle Antwort.
So wie ich das lese, kriege ich das dann wohl schwer in Übereinstimmung. Mir kommen da gleich zwei spontane Fragen auf:
1. Lieber das DynDNS des Hosters verwenden, falls dieser das anbietet?
Strato bietet dies an und inwx.de als klassicher Domainhoster auch...diese haben sogar eine API, womit sich problemlos LetsEncrypt Wildcard Certs erstellen lassen können.
2. Lieber alles über VPN realisieren? Ich denke hier an die Einfachheit für meine Bekannten und Freunde welche mit qnap.example.de und Benutzer und Passwort besser zurecht kommen als mit Installation eines VPN-Clients. Wirklich vertrauliche Dateien sollen darüber eh nicht ausgetauscht werden, aber der Sicherheitsaspekt spielt natürlich trotzdem eine Rolle.
Dann würde ich nur ein VPN realisieren und keinen direkten Zugang. Gerade mit einer Sophos ist dies ja eine Fingerübung und da kannst dort SSL VPN aktivieren, welches sich mit den klassischen OpenVPN Programmen verwenden lässt.
Nur 2 Beispiele, was passieren kann, wenn das NAS (sei es QNAP, Synology oder was auch immer) direkt im Netz hängen
QNAP Sicherheitswarnung vor eCh0raix-Ransomware
AgeLocker-Ransomware stiehlt Daten von QNAP-NAS
Wenn es dir nur um Dateiaustausch geht, lässt sich das QNAP als "HybridMount" z.B. mit einer Cloud verbinden (z.B. Nextcloud)....das heißt, dass die Nextcloud im QNAP gemountet ist....du greifst darüber ganz normal über deine QNAP Laufwerke zu und deine Bekannt über den NextCloud / die Nextcloud App.
Aber.....viele Wege führen nach Rom
@tech-flare:
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.
Was zeigt denn der Browser für ein Zertifikat an? Ist das auch das LE-Zertifikat oder irgendein anderes?
Ansonsten wäre meine Empfehlung aber auch: Stelle das NAS nicht direkt ins Netz (da gibt es aktuell wieder sehr vorzeigbare Gründe) sondern sorge dafür, dass die Sophos Reverse-Proxy spielt und eine simple Kennwort-Abfrage vorschaltet, wenn es auch ohne VPN erreichbar sein soll.
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.
Was zeigt denn der Browser für ein Zertifikat an? Ist das auch das LE-Zertifikat oder irgendein anderes?
Ansonsten wäre meine Empfehlung aber auch: Stelle das NAS nicht direkt ins Netz (da gibt es aktuell wieder sehr vorzeigbare Gründe) sondern sorge dafür, dass die Sophos Reverse-Proxy spielt und eine simple Kennwort-Abfrage vorschaltet, wenn es auch ohne VPN erreichbar sein soll.
Zitat von @LordGurke:
@tech-flare:
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.
@tech-flare:
Ob CNAME oder nicht ist vollkommen egal, das Zertifikat muss halt auf "qnap.meinedomain.de" ausgestellt sein.
Letztlich prüft der Browser nur, ob die Adresse aus der Adressleiste mit der im Zertifikat übereinstimmt.
ja war etwas ungünstig formuliert.
Wenn er qnap.meinedomain.de per CNAME auf qnap.dyndns.de leitet, bleibt qnap.meinedomain.de im Browser stehen und es MUSS das Zertifikat zu qnap.meinedomain.de passen.
Daher meine Frage, ob er die WAF in der Sophos Aktiv hat und auch dort das richtige Zertifikat eingebunden hat.
Hallo und ein gesundes neues Jahr wünsche ich
Vielen Dank für deinen Beitrag. Ich habe mir deine beiden verlinkten Beiträge mal durchgelesen und bin nun auch etwas skeptisch die QNAP so "simpel" ins Netz zu stellen. Ich habe hierzu aber auch gelesen das man ja einige Einstellungen vornehmen kann um Brute-Force-Attaken einzudämmen. Auf meiner QNAP liegen ca. 1 TB Daten (nichts vertrauliches) welche ich gerne für die Gruppe verfügbar machen will.
Die Sache mit der Nextcloud werde ich mir mal näher anschauen. Mir ist es auch nicht unbedingt wichtig das meine Bekannten direkt auf die QNAP zugreifen können. Eventuell kann man ja auch einfach eine simple Website basteln auf welcher sich die Leute einloggen und dann Zugriff auf die Dateien bekommen, ähnlich eines Filehosters nur mit dem Unterschied das ich die Zugriffsrechte vergeben kann?!
MfG und alles Gute für 2021
Vielen Dank für deinen Beitrag. Ich habe mir deine beiden verlinkten Beiträge mal durchgelesen und bin nun auch etwas skeptisch die QNAP so "simpel" ins Netz zu stellen. Ich habe hierzu aber auch gelesen das man ja einige Einstellungen vornehmen kann um Brute-Force-Attaken einzudämmen. Auf meiner QNAP liegen ca. 1 TB Daten (nichts vertrauliches) welche ich gerne für die Gruppe verfügbar machen will.
Die Sache mit der Nextcloud werde ich mir mal näher anschauen. Mir ist es auch nicht unbedingt wichtig das meine Bekannten direkt auf die QNAP zugreifen können. Eventuell kann man ja auch einfach eine simple Website basteln auf welcher sich die Leute einloggen und dann Zugriff auf die Dateien bekommen, ähnlich eines Filehosters nur mit dem Unterschied das ich die Zugriffsrechte vergeben kann?!
MfG und alles Gute für 2021
Hallo und ein gesundes neues Jahr wünsche ich
Das Zertifikat habe ich aus der QNAP heraus über LetsEncrypt erzeugen lassen und auch auf die Domain qnap.example.de ausstellen lassen. Zumindest meiner Meinung nach
Das mit dem Sophos Reverse-Proxy und der Kennwortabfrage finde ich einen sehr guten Lösungsansatz, habe ich mich aber absolut noch nicht mit beschäftigt. Werde mich da nochmal etwas in die Thematik vertiefen.
Vielen Dank für deine Hinweise
MfG
Das Zertifikat habe ich aus der QNAP heraus über LetsEncrypt erzeugen lassen und auch auf die Domain qnap.example.de ausstellen lassen. Zumindest meiner Meinung nach
Das mit dem Sophos Reverse-Proxy und der Kennwortabfrage finde ich einen sehr guten Lösungsansatz, habe ich mich aber absolut noch nicht mit beschäftigt. Werde mich da nochmal etwas in die Thematik vertiefen.
Vielen Dank für deine Hinweise
MfG
Also es bleibt beim externen Aufruf der Seite qnap.example.de im Browser stehen.
Was ist die WAF? WebApplicationFirewall? Nein ich habe diese aktuell noch nicht aktiviert und auch das Zertifikat noch nicht in die Sophos eingebunden. Auch hierzu muss ich wohl nochmal tiefer in die Materie eintauchen.
MfG
Was ist die WAF? WebApplicationFirewall? Nein ich habe diese aktuell noch nicht aktiviert und auch das Zertifikat noch nicht in die Sophos eingebunden. Auch hierzu muss ich wohl nochmal tiefer in die Materie eintauchen.
MfG